Íme a júniusi adag:

MS10-032: Három kernel módú driver javítása. A sebezhetőségek lehetővé teszik, hogy speciális TrueType karakterkészletek vagy ablakok létrehozásakor megadott speciális callback függvények segítvégével jogosultságkiterjesztést érjünk el bármely Windows változat esetében (Server 2008 Core install esetén is, a harmadik módszeról nem találtam használható információt, viszont még pár fontos részlet elolvasható az SRD blogon).

MS10-033: Két, a Windows média (ki)tömörítő komponenseit érintő probléma, ami távoli kódfuttatásra ad lehetőséget speciális AVI fájlok segítségével. A hiba az összes támogatott Windows változatot érinti, beleértve a 2008 Server változatot is, amely alapértelmezett konfigurációban is sebezhető.

MS10-034: Erre a hónapra is jutott két ActiveX probléma, az összes desktop Windows változat fölött átvehető az irányítás, ha a kedves felhasználó egy megfelelően összeállított weboldalra merészkedik Internet Explorerrel.

MS10-035: Hat IE sebezhetőség javítása, ezek közül az egyik információszivárgást okozó hiba leírása elolvasható itt - a probléma lényege, hogy a gyorsítótárazás helytelen megvalósítása miatt, az egyik domainen futó alkalmazás bele tud nézni egy másik tartomány adataiba (bővebben az SRD blogon). Ebben a csomagban szerepel a Pwn2Own-on bemutatott IE hiba javítása is

MS10-036: Megint ActiveX, ezúttal Office dokumentumokba ágyazott vezérlőkkel (nem tudom mit nyomhatott aki ezt a lehetőséget kitalálta...) lehet gonosz dolgokat véghez vinni, ehhez a felhasználónak meg kell nyitnia egy megfelelően összeállított fájlt. 

MS10-037: Az OpenType Compact Font Format driverét érintő sebezhetőség javítása, a probléma jogosultságkiterjesztésre ad alkalmat minden támogatott rendszeren. A 2008 Server alapértelmezett installációk is érintettek.

MS10-038: Tizennégy (!) hibajavítás az Excelhez. Több ezek közül kódfuttatásra ad lehetőséget, ha a felhasználó megnyit egy speciális táblázatot. Még egy remek lehetőség féreggyártásra. 

MS10-039: A már tárgyalt SharePoint XSS javítása.

MS10-040: Autentikáció után távoli kódfuttatásra alkalmat adó probléma az IIS 6.0,7.0 és 7.5 változataiban. Csak azok a konfigurációk érintettek, melyeken engedélyezett az Extended Protection for Authentication funkció. Ez automatikusan engedélyezésre kerül Windows7 és Server 2008 R2 esetén, ha a Windows authentication szerepkört telepítjük. 

MS10-041: Egy, a .NET keretrendszert érintő probléma javítása. A hiba lehetővé teszi, hogy aláírt XML dokumentumok tartalmát észrevétlenül megváltoztassuk. A problémát az okozza, hogy az integritásellenőzésre használt HMAC lenyomat maximális hosszának nincs minimum értéke, így kellően alacsony bitszámot megadva az ütközési valószínűség kényelmesre növelhető. A probléma a .NET keretrendszert használó alkalmazásokon kívül több Oracle és IBM szoftvert és magát a Sun JDK-t is érinti. Szinten az SRD blog szolgál bővebb információval.

Hasznos változás a tanácslatokban, hogy a sebezhető programkomponenseket (akár a konkrét DLL-t) is megnevezi a Microsoft, valamint a CVE azonosítók már linkelnek a mitre.org adatbázisára.